USB メモリ制御環境導入ソリューション 2009 年 4 月 17 日 株式会社ソフトウェア パートナー Copyright 2009 All rights reserved,
Agenda 1. 背景 2. 目的 3. 内容 3-1. USB メモリの利用自体を制御 3-2. USB メモリの 書き込み のみを制御 3-3. USB メモリ利用の柔軟な制御と 管理機能 の提供
1. 背景 現在 各クライアント端末にて各ユーザが自由に外部記憶デバイス (USB メモリ等 ) を利用し データの入出力を行うことが出来る環境になっております 外部記憶デバイスの中でも 最近では特に 手軽にデータの持ち運びが可能であり 安価かつ容易に入手可能な USB メモリ を利用するケースが多いかと思いますが これらデバイスをユーザが任意で利用可能なことはユーザビリティ的には優れてはおりますが 情報セキュリティの強化やコンプライアンスが騒がれている昨今では 情報漏洩対策や個人情報保護等の観点から好ましくありません 上記現状と昨今の時代背景を踏まえ 社内環境における情報漏洩対策や個人情報保護など セキュリティの強化を実現することを目的として USB メモリの利用を制御する仕組みの導入を御提案申し上げます
2. 目的 本御提案では 下記の実現を目的としております 社内設置端末における USB メモリの利用制御 社内に設置の全端末を対象に USB メモリが利用出来ない ( 全ての機能 または一部の機能 ) 環境を構成いたします 御提案パターンにより 読み込み 書き込み ともに制御を掛けるパターンと 書き込み のみに制御を掛けるパターン これらの双方を柔軟に使い分けられる 管理機能 を有するパターンを想定しております
3. 内容 弊社では 前述の御提案背景の解決および御提案目的の実現のため 下記の内容について御提案申し上げます 内容 パターン1 : USB メモリの利用自体を制御 パターン2 : USB メモリの 書き込み のみを制御 パターン3 : USB メモリ利用の柔軟な制御と 管理機能 の提供 上記各パターンについて 次ページより構成の詳細 実現方法 および各構成の メリット デメリットをご説明いたします
3-1. USB メモリの利用自体を制御 既存環境で既に保有している機能を有効化し USB メモリ自体の利用を制御する環境を構成 いたします USB メモリの 読み込み および 書き込み の双方を強制的に禁止し 社内 LAN 上の端末に おいて USB メモリが利用出来ない環境を構成いたします 実現方法 既に導入されている ActiveDirectory ドメインの機能を利用し ドメインに所属する端末上での USB メモリを全て利用禁止に設定 メリット 既存の機能を利用するため 実現するための費用が安価 ドメイン全体で統一的なポリシーを強制することが可能 デメリット 管理機能が搭載されておらず 柔軟な管理が不可 ポリシー適用には 必ずドメインに所属する必要がある USB 接続のCD-RやDVD-Rなど USBメモリ以外のUSBデバイスを無効にしてしまう USBマウス等の入出力デバイスには影響ありません
3-1. USB メモリの利用自体を制御 実現イメージ 社内 LAN 配布された USB メモリ禁止ポリシー により ユーザの意図およびサーバやクライアント PC などの端末種別を問わず 強制的に USB デバイスを無効にすることが可能 Active Directory ドメインコントローラに関しても 他の端末と例外なく USB メモリは利用不可 既存 ActiveDirectory ドメインコントローラ 社内クライアント端末群 社内サーバ群 ポイント ActiveDirectory ドメインにおける GroupPolicy を利用し USB メモリ利用禁止 のポリシーの配布 適用 ActiveDirectory ドメイン配下に参加している端末は 全て共通のポリシーを強制することが可能 サーバ OS クライアント OS 等の端末種別は関係なし ActiveDirectory ドメインコントローラも例外ではなく 同一ポリシーを適用することが可能 本構成では USB ストレージデバイス全般的に利用を制限 (USB 接続の CD-RW 等を含む USB マウス等は利用可能 )
3-2. USB メモリの 書き込み のみを制御 既存環境で既に保有している機能を有効化し USB メモリへの 書き込み のみを制御する 環境を構成いたします USB メモリの 書き込み を強制的に禁止し 社内 LAN 上の端末において USB メモリへの 書き 込み が出来ない環境を構成いたします 実現方法 既に導入されている ActiveDirectory ドメインの機能を利用し ドメインに所属する端末上で USB メモリへの書き込みのみ禁止に設定 メリット 既存の機能を利用するため 実現するための費用が安価 ドメイン全体で統一的なポリシーを強制することが可能 デメリット 管理機能が搭載されておらず 柔軟な管理が不可 ポリシー適用には 必ずドメインに所属する必要がある 書き込みのみ禁止のため 外部からのデータ持ち込みは可能になってしまう 外部からの不正データ ( ウィルス感染データ等 ) の持ち込み防止は不可
3-2. USB メモリの 書き込み のみを制御 実現イメージ 社内 LAN 配布された USB メモリ禁止ポリシー により ユーザの意図およびサーバやクライアント PC などの端末種別を問わず 強制的に USB デバイスへの書き込みを無効にすることが可能 本御提案の構成では USBメモリへの書き込みのみ禁止で USBメモリからの読み込みは可 既存 ActiveDirectory ドメインコントローラ 社内クライアント端末群 社内サーバ群 Active Directory ドメインコントローラに関しても 他の端末と例外なく USB メモリへの書き込みは不可 ポイント ActiveDirectory ドメインにおける GroupPolicy を利用し USB メモリへの書き込み禁止 のポリシーの配布 適用 ActiveDirectory ドメイン配下に参加している端末は 全て共通のポリシーを強制することが可能 サーバ OS クライアント OS 等の端末種別は関係なし ActiveDirectory ドメインコントローラも例外ではなく 同一ポリシーを適用することが可能 本構成では USB ストレージデバイスからの読み込みは許可し USB メモリへの書き込みのみを制限
3-3. USB メモリ利用の柔軟な制御と 管理機能 の提供 既存環境に対して新たなソフトウェアを導入し USB メモリからの 書き込み および USB メモリ への 書き込み を柔軟に制御可能な環境を構成いたします 端末毎やグループ毎に 読み込み 権限や 書き込み 権限を柔軟に割り当て かつその割り当て 状況の管理を 管理機能 がサポートする環境を構成いたします 実現方法 USB メモリ制御用のソフトウェアを新規導入し ツールの機能を利用して USB メモリからの読み込みおよび USB メモリへの書き込みを柔軟に制御 上記ツールの機能を利用し USB メモリの制御状況を管理 御提案製品 メリット DeviceLock v6.3 ( 販売元 : 株式会社ラネクシー ) 管理機能を有するため USB メモリの制御をより柔軟に実現することが可能 ActiveDirectory ドメインに依存せずに構成することが可能 制御ツールをユーザ側から不可視に稼働させるなど 内部統制対策 ( 内部セキュリティ対策 ) も可能 デメリット 新たなソフトウェアを導入する必要があり 実現するための費用が高価 既存ドメイン環境以外に管理対象が増え 管理者の負担が増加
3-3. USB メモリ利用の柔軟な制御と 管理機能 の提供 実現イメージ 社内 LAN 専用製品を利用することにより 端末毎またはユーザ毎に USB メモリへのアクセス権限を制御可能 クライアント PC のみならず サーバやドメインコントローラも同様に制御可能 DeviceLock 管理コンソール 社内クライアント端末群 既存 ActiveDirectory ドメインコントローラ 社内サーバ群 ポイント デバイス制御専用製品 DeviceLock を各クライアント PC およびサーバへ導入 同製品の管理コンソールから各端末に導入した製品を制御することでデバイスを制御 専用ソフトウェアでの制御のため ActiveDirectory ドメインへの参加有無に関わらず制御することが可能 専用ソフトウェアでの制御のため 端末毎またはユーザ毎にデバイスへのアクセス方法を柔軟に制御することが可能 ( フルアクセス 全アクセス禁止 読み込みのみ フォーマット可 取り出し可など ) 専用ソフトウェアでの制御のため 監査ログの収集やレポート作成など 管理機能が豊富